檔案信息安全保障體系框架研究

摘 要：隨著信息技術(shù)的迅猛發(fā)展以及信息技術(shù)在檔案管理中的廣泛應(yīng)用，檔案信息管理手段信息化、網(wǎng)絡(luò)化進(jìn)程加快，使的檔案管理效率有了顯著提高。但是我國的檔案信息安全保障體系建設(shè)還處在初級階段，在推進(jìn)檔案信息化建設(shè)的進(jìn)程中，隱藏著諸多安全隱患問題。包括檔案信息化的有關(guān)法律、法規(guī)和行政命令不夠完善，檔案信息化網(wǎng)絡(luò)建設(shè)中信息安全技術(shù)應(yīng)用不夠全面，各級檔案部門的安全管理體制不夠完善等等。如何確保檔案網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全，成為檔案信息化建設(shè)過程中極其關(guān)鍵的問題。針對以上各層次的安全問題，本文提出了三層措施保護(hù)信息系統(tǒng)的安全策略，即物理環(huán)境和硬件環(huán)境安全策略、系統(tǒng)安全和應(yīng)用安全策略和法律與制度支持策略。

關(guān)鍵詞：檔案信息；安全保障；問題；策略

隨著全球信息化的發(fā)展和WTO的加入，我國檔案信息化建設(shè)工作已日漸深入。檔案信息化已成為各級檔案部門加快檔案管理現(xiàn)代化步伐，實(shí)現(xiàn)檔案信息資源共享，提高工作效率，加快檔案事業(yè)發(fā)展的重要手段和基礎(chǔ)。在推進(jìn)檔案信息化建設(shè)的過程中，信息安全保障體系的建設(shè)是檔案信息化建設(shè)中極為重要的組成部分，而我國的檔案信息安全保障體系建設(shè)還處在初級階段，目前還隱藏著諸多安全隱患問題。

1、檔案信息化的有關(guān)法律、法規(guī)和行政命令不夠完善

目前，我國在檔案信息化建設(shè)過程中還沒有專門的法律、法規(guī)來對檔案信息化建設(shè)進(jìn)行保護(hù)，僅僅依靠通用的計(jì)算機(jī)法律、法規(guī)來維護(hù)檔案信息化建設(shè)的安全。這對那些刻意攻擊、竊取、毀壞檔案信息的破壞分子來說實(shí)在是微不足道，一旦他們得逞，勢必給我國的檔案事業(yè)發(fā)展造成不可估量的損失。在國外，為保障檔案信息化發(fā)展，很多國家都制定和頒布了專門的法律、法規(guī)和行政命力，這些法律法規(guī)對檔案信息化發(fā)展起著重要的保障和規(guī)范作用。我國可以針對國情制定相關(guān)的法律、法規(guī)，為我國的檔案信息化建設(shè)保駕護(hù)航。

2、檔案信息化網(wǎng)絡(luò)建設(shè)中信息安全技術(shù)應(yīng)用不夠全面

我國的檔案信息化網(wǎng)絡(luò)建設(shè)目前處于內(nèi)網(wǎng)、專網(wǎng)和外網(wǎng)同時(shí)使用階段，隨著信息技術(shù)的不斷發(fā)展，信息競爭、黑客攻擊等人為惡意破壞因素的存在，檔案信息化網(wǎng)絡(luò)建設(shè)中信息安全技術(shù)應(yīng)用不夠全面，使得檔案信息系統(tǒng)變得非常脆弱，易受來自各方面的攻擊。從事黑客的人或組織可能會(huì)不斷地尋找檔案網(wǎng)絡(luò)系統(tǒng)上的的漏洞，以潛入檔案信息系統(tǒng)。一旦網(wǎng)絡(luò)被人攻破，機(jī)密的數(shù)據(jù)、資料可能會(huì)被盜取，網(wǎng)絡(luò)可能會(huì)被損壞，給我們的工作帶來難以預(yù)測的損失。另外，世界上每天都有新的計(jì)算機(jī)病毒產(chǎn)生，同樣會(huì)威脅檔案網(wǎng)絡(luò)的安全。

3、各級檔案部門的安全管理體制不夠完善

有資料表明，大部分的計(jì)算機(jī)安全保密問題來自其系統(tǒng)內(nèi)部，世界上70%信息被盜和泄密來自于內(nèi)部，這主要是因?yàn)槿藛T麻痹和安全管理體制不完善所造成的。若要徹底解決檔案信息化建設(shè)中的安全問題，就要加大安全管理體制的建設(shè)力度，加強(qiáng)統(tǒng)一領(lǐng)導(dǎo)，加強(qiáng)網(wǎng)絡(luò)使用人員的網(wǎng)絡(luò)安全意識，建章立制，將檔案信息安全管理逐步納入科學(xué)、規(guī)范的管理軌道。

如何確保檔案網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全，成為檔案信息化建設(shè)過程中極其關(guān)鍵的問題。針對以上各層次的安全問題，我們提出了三層措施保護(hù)信息系統(tǒng)的安全策略。

1 物理環(huán)境和硬件環(huán)境安全策略

從物理環(huán)境的角度來說，地震、水災(zāi)、火災(zāi)；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲等，時(shí)刻威脅著檔案信息系統(tǒng)的安全。因此，增強(qiáng)檔案信息系統(tǒng)抵御外界環(huán)境的能力，成了系統(tǒng)安全的首要問題，也是整個(gè)檔案信息系統(tǒng)安全的前提。針對局域網(wǎng)來說，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的網(wǎng)絡(luò)安全管理制度，做好檔案數(shù)據(jù)的日常備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房報(bào)警裝置的管理，這些風(fēng)險(xiǎn)基本可以避免。

在系統(tǒng)硬件設(shè)備方面，則要做到：

第一，內(nèi)外網(wǎng)物理隔離。根據(jù)國務(wù)院及有關(guān)安全保密部門的網(wǎng)絡(luò)安全規(guī)定，涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)互相連接，必須實(shí)行物理隔離。因此，對檔案部門的內(nèi)部網(wǎng)絡(luò)和國際互聯(lián)網(wǎng)，要嚴(yán)格地進(jìn)行物理隔離，防止不宜公開的內(nèi)部檔案信息通過網(wǎng)絡(luò)連接泄露到外部公眾網(wǎng)。

第二， 檔案信息網(wǎng)站網(wǎng)絡(luò)防火墻技術(shù)。防火墻技術(shù)能完成對網(wǎng)絡(luò)數(shù)據(jù)的掃描，防止非法數(shù)據(jù)的侵入。檔案信息網(wǎng)站將發(fā)布到Internet網(wǎng)上的各種威脅，為了保證檔案信息網(wǎng)站數(shù)據(jù)庫服務(wù)器數(shù)據(jù)的安全性，應(yīng)當(dāng)建立核心網(wǎng)絡(luò)的防火墻機(jī)制，防止外部與內(nèi)部對檔案信息網(wǎng)站的攻擊，防火墻可采用軟件防火墻與硬件防火相結(jié)合的機(jī)制來提高安全級別。

第三， 檔案信息加密技術(shù)。檔案信息網(wǎng)站的功能主要是方便用戶對數(shù)據(jù)的檢索，查閱，因此會(huì)有許多檔案信息通過互聯(lián)網(wǎng)絡(luò)進(jìn)行傳送，數(shù)據(jù)極易被竊取和篡改。因此，檔案信息網(wǎng)站可采用數(shù)據(jù)加密技術(shù)和數(shù)字水印技術(shù)完成對數(shù)據(jù)加密，以保證數(shù)據(jù)的安全性，同時(shí)也保證數(shù)據(jù)的真實(shí)性與完事性。

第四， 網(wǎng)絡(luò)檔案信息數(shù)據(jù)備份技術(shù)。檔案信息網(wǎng)站采用B/S軟件架構(gòu)體系，通過前臺(tái)網(wǎng)站完成對數(shù)據(jù)庫數(shù)據(jù)的請求，這個(gè)過程很容易被攻擊者利用，使檔案信息網(wǎng)站受到安全威脅。為了保證數(shù)據(jù)的安全性與完整性，必須建立規(guī)范化的數(shù)據(jù)數(shù)據(jù)備份機(jī)制來實(shí)時(shí)對用戶數(shù)據(jù)進(jìn)行備份，可采用磁盤陣列技術(shù)或雙機(jī)備份技術(shù)，也可以通過數(shù)據(jù)庫應(yīng)用軟件提供的備份機(jī)制實(shí)現(xiàn)對檔案信息數(shù)據(jù)的備份。

第五，檔案信息網(wǎng)站防病毒體系。檔案信息網(wǎng)站運(yùn)行于互聯(lián)網(wǎng)絡(luò)上，如果采用的病毒防御機(jī)制不當(dāng)，極易感染病毒與木馬，因此，必須建立科學(xué)、合理的防病毒體系。在檔案信息網(wǎng)站服務(wù)器上病毒防治服務(wù)器，并安裝防毒軟件，通過實(shí)時(shí)的跟蹤、掃描網(wǎng)絡(luò)數(shù)據(jù)，及時(shí)的查殺已知各類病毒，保證檔案信息網(wǎng)站安全。

2 法律與制度支持策略

檔案信息化安全保障體系建設(shè)并非是一個(gè)單純的技術(shù)層面的問題，它還涉及到管理、意識和國家法律等各個(gè)層面，因此，檔案信息安全其實(shí)是一個(gè)綜合性的問題，各個(gè)環(huán)節(jié)緊密銜接在一起。使用相關(guān)安全產(chǎn)品的同時(shí)，應(yīng)在組織與制度上采用相應(yīng)措施加以完善。

安全系統(tǒng)需要有人來計(jì)劃、設(shè)計(jì)和管理，任何系統(tǒng)安全設(shè)施也不能完全由計(jì)算機(jī)系統(tǒng)獨(dú)立承擔(dān)系統(tǒng)安全保障的任務(wù)。一方面，各級檔案部門領(lǐng)導(dǎo)要高度重視，并積極實(shí)施有關(guān)檔案系統(tǒng)安全方面的各項(xiàng)措施；另一方面，讓工作人員和用戶對網(wǎng)絡(luò)安全性要有深入地了解，使他們積極地自覺地遵守各項(xiàng)信息系統(tǒng)安全制度和措施。防患于未然，就能降低檔案網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)。

積極爭取國家有關(guān)部門的政策支持，根據(jù)檔案部門的實(shí)際情況，參考《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國檔案法》、《中華人民共和國保密法》等法律、法規(guī)，制定出適合檔案部門的規(guī)章制度，以此約束所有用戶、系統(tǒng)管理員以及其他成員，保證檔案信息系統(tǒng)安全、可靠地正常運(yùn)行。

由于網(wǎng)絡(luò)設(shè)備和系統(tǒng)軟件本身存在一定的缺陷，再加上從事黑客的個(gè)人或組織技術(shù)在不斷升級，所以，檔案信息系統(tǒng)沒有絕對的安全，只有相對的安全。檔案信息化安全保障體系是一個(gè)動(dòng)態(tài)的概念，面對檔案信息系統(tǒng)安全的諸多問題，必須時(shí)刻警惕，運(yùn)用多種手段，不斷在技術(shù)上更新，管理體制上完善，人員素質(zhì)和管理理念上緊跟網(wǎng)絡(luò)發(fā)展的步伐。只有時(shí)刻從檔案數(shù)據(jù)安全的方方面面出發(fā)，點(diǎn)滴不漏，常抓不懈，才能建立起完善的檔案信息安全保障體系，確保檔案信息系統(tǒng)的數(shù)據(jù)安全，保證檔案信息化建設(shè)順利進(jìn)行。

作者簡介

周程錦（1978-），男，青島市黃島區(qū)檔案局，館員。endprint